Windows Live Essentials 2011

29 września firma Microsoft wypuściła nową wersję domowego pakietu aplikacji tej firmy. Windows Live Essentials 2011 jest już gotowy do pobrania.

Windows Live to popularne aplikacje do domowego użytku. Spójrzmy więc co w nim siedzi:

  • Galeria fotografiiprogram do edycji i zarządzania zdjęciami
  • Pocztaklient poczty e-mail
  • Movie Maker – narzędzie do tworzenia filmów i ich szybkiego udostępniania
  • Edytor – edytor blogów
  • Messenger – klient umożliwiający prowadzenie rozmów tekstowych i nie tylko
  • Czytaj dalej >>

Zapowiedź lipcowych biuletynów bezpieczeństwa

Na lipiec Microsoft planuje wydać sześć biuletynów bezpieczeństwa, w tym trzy ze wskaźnikiem ważności „krytyczny” i trzy ze wskaźnikiem „ważny”.

Biuletyny oznaczone „krytycznym” wskaźnikiem ważności:

• Identyfikator biuletynu: Windows 1
• Wskaźnik ważności: Krytyczny
• Rodzaj usterki: Zdalne wykonanie kodu
• Wymóg restartu: Wymaga restartu
• Zagrożone oprogramowanie: Microsoft Windows

• Identyfikator biuletynu: Windows 2
• Wskaźnik ważności: Krytyczny
• Rodzaj usterki: Zdalne wykonanie kodu
• Wymóg restartu: Może wymagać restartu
• Zagrożone oprogramowanie: Microsoft DirectX 9.0

• Identyfikator biuletynu: Windows 3
• Wskaźnik ważności: Krytyczny
• Rodzaj usterki: Zdalne wykonanie kodu
• Wymóg restartu: Może wymagać restartu
• Zagrożone oprogramowanie: Microsoft Windows

Biuletyny oznaczone „ważnym” wskaźnikiem ważności:
• Identyfikator biuletynu: Virtual PC, Virtual Server
• Wskaźnik ważności: Ważny
• Rodzaj usterki: Przejęcie uprawnień
• Wymóg restartu: Wymaga restartu
• Zagrożone oprogramowanie: Microsoft Windows Virtualization

• Identyfikator biuletynu: ISA
• Wskaźnik ważności: Ważny
• Rodzaj usterki: Przejęcie uprawnień
• Wymóg restartu: Wymaga restartu
• Zagrożone oprogramowanie: Microsoft Internet Security and Acceleration Server 2006

• Identyfikator biuletynu: Publisher
• Wskaźnik ważności: Ważny
• Rodzaj usterki: Zdalne wykonanie kodu
• Wymóg restartu: Może wymagać restartu
• Zagrożone oprogramowanie: Microsoft Office Publisher 2007

15 czerwca na godz. 20.00 czasu polskiego zaplanowano webcast „na żywo” poświęcony lipcowym biuletynom.

Microsoft TechNet: Microsoft Security Bulletin Advance Notification for July 2009

TechNet Webcast: Information About Microsoft July Security Bulletins (Level 200)

Instalacja Service Packa 2 dla Windows Vista

Niemal 2 dni temu pojawił się wreszcie dla (również dla polskiej wersji językowej) zestaw poprawek dla systemu Windows Vista. Przypominamy, że jego instalacja musi poprzedzić instalacja pierwszego Service Packa 1 dla tego systemu.

Poniżej zamieszczany zrzuty ekranowe przebiegu instalacji.

Service Pack 2 dla Microsoft Vista i Microsoft Server 2008

Na stronach Microsoft Downloads udostępniono Service Pack 2 dla Windows Vista i Windows Server 2008. Jest to wersja dla wszystkich wspieranych 36 języków, dla systemów 32 i 64 bitowych.

Należy pamiętać, że aby można było zainstalować dodatek Service Pack 2, należy wcześniej zainstalować dodatek Service Pack 1.

Dodatek Windows Server 2008 Service Pack 2 i Windows Vista Service Pack 2 – wszystkie wersje językowe, pakiet autonomiczny (KB948465)

Dodatek Windows Server 2008 Service Pack 2 i Windows Vista Service Pack 2 – wszystkie wersje językowe, pakiet autonomiczny dla komputerów z procesorami x64 (KB948465)

Aktualizacje zabezpieczeń FreeBSD

Programiści systemu operacyjnego FreeBSD opublikowali aktualizacje zabezpieczeń dla tego systemu, które usuwają trzy słabe punkty. Są to dokładniej: błąd w sprawdzaniu określonych poleceń IOCTL do konfiguracji interfejsów IPv6, który może doprowadzić do zakłócenia pracy całego złącza. Błąd w przetwarzaniu anonimowych potoków może powodować, że proces będzie sięgał do pamięci używanej przez inne procesy albo przez kernela. Poza tym usunięta została inny, znany wcześniej błąd w usłudze ntpd.

Więcej informacji:

Firefox 3.0.11

We wczorajszym dniu użytkownicy przeglądarki Mozilla Firefox mogli dokonać aktualizacji do najnowszej wersji 3.0.11 (nakładka na 3.0).

W wersji tej naprawiono 4 krytyczne błędy związane z bezpieczeństwem i stabilnością przeglądarki. Naprawiono błędy o mniejszym znaczeniu dotyczące obsługi plików cookie, certyfikatów SSL oraz obsługi znaków specjalnych w pasku adresu. Naprawiono też błąd, który mógł spowodować uszkodzenie listy zakładek, przechowywanych w profilu użytkownika. Aktualniono wewnętrzny silnik bazy danych SQLite.

Dla zainteresowanych – pełna lista wprowadzonych zmian.

Łaty do Chrome 2

Błąd w silniku WebKit da się wykorzystać do podsunięcia szkodliwego kodu użytkownikowi, który odwiedzi zmanipulowaną stronę internetową. Może wówczas dojść do błędu naruszenia pamięci silnika WebKit. Szkodliwy kod jest na szczęście wykonywany przez przeglądarkę Chrome tylko w piaskownicy (sandbox), co bardzo ogranicza pole działania napastnika. Mimo to Google określa ryzyko jako wysokie.

Producent przygotował już aktualizację zabezpieczeń 2.0.172.31, która ma naprawiać lukę. Firma Apple usunęła identyczną usterkę w wydanej 8 czerwca nowej, czwartej wersji swojej przeglądarki Safari – również bazującej na silniku WebKit.

Aktualizacje usuwają luki związane z obsługą mechanizmu przeciągnij i upuść. W tym przypadku napastnik może uzyskać wgląd w treść strony przeciąganej nad kartą prezentującą złośliwą witrynę otwartą w przeglądarce.

Aktualizacje dla Chrome’a są pobierane i instalowane przez funkcję automatycznej aktualizacji bez nagabywania użytkownika o zgodę. Zaczynają działać po ponownym uruchomieniu programu.

Na razie ani Google, ani Apple nie ujawniły, w której wersji silnika WebKit błąd został usunięty. Można przypuszczać, że nie znajdziemy go w aktualnych wydaniach typu Nightly Build. Ze względu na to, że z WebKita korzystają różne inne przeglądarki i aplikacje, także i dla nich należy spodziewać się aktualizacji.

Zobacz także

Rekordowa liczba biuletynów

Microsoft wydał aż dziesięć biuletynów bezpieczeństwa, zawierających aktualizacje swojego oprogramowania. Łączna liczba błędów aplikacji, usuwana przez najnowsze patche, jest najwyższą w sześcioletniej historii comiesięcznego cyklu aktualizacji.

W dziesięciu biuletynach znalazło się łącznie 31 łatek w systemie operacyjnym Windows, przeglądarce Internet Explorer, aplikacjach pakietu biurowego Excel i Word oraz wyszukiwarce Windows Search. 18 z nich miało status błędów krytycznych, 11 – ważnych, a 2 – umiarkowanych.

Jest to największa liczba błędów usuwanych jednorazowo od sierpnia 2006 r., kiedy udostępnił biuletyny zawierające łącznie 26 aktualizacji.

Wśród najnowszych biuletynów na uwagę zasługuje m.in. MS09-019, który usuwa osiem odrębnych luk w przeglądarce Microsoftu (jedna z nich została wykorzystana w marcowym konkursie PWN2OWN do włamania się do komputera).

Oprócz tego poszczególne biuletyny odnoszą się m.in. do luk w kernelu Windows (MS09-025) i zbiorze usług internetowych ISS (MS09-020) – w obu wypadkach grożących podniesieniem uprawnień – oraz błędów w usłudze Active Directory (MS09-018), które cyberprzestępca mógłby wykorzystać do zdalnego uruchomienia niebezpiecznego kodu na atakowanej maszynie.

Aktualizacje można pobrać i zainstalować za pośrednictwem usług Microsoft Update, Windows Update i Windows Server Update Services.

13 luk w Adobe

Firma Adobe udostępniła poprawki usuwające 13 groźnych luk w oprogramowaniu tej firmy. Są to kolejne łaty wydane w ostatnim czasie. Niedawno jak pisaliśmy w naszym serwisie Adobe naprawiła czytniki plików PDF.

Większość z naprawianych za pomocą wydanego update błędów w oprogramowaniu dotyczy przepełnienia sterty oraz nadpisania pamięci w filtrze JBIG2, pozostałe dotyczą kwestii przepełnienia stosu. Użytkownicy programów Acrobat i Reader z serii 9 powinni je zaktualizować do wersji 9.1.2. Dla serii 8 powinni zaktualizować software do wersji 8.1.6, z serii 7 do 7.1.3.

Opisywane poprawki dotyczą tylko systemów MS Windows i Mac OS X. 16 czerwca podobne łaty będą dostępne dla Linuxa.

Czerwcowe biuletyny zabezpieczeń

Microsoft w czerwcu wydał dziesięć biuletynów zabezpieczeń, w tym sześć oznaczonych „krytycznym” wskaźnikiem ważności. Pozostałe noszą oznaczenia „ważne” oraz „umiarkowane”.

Biuletyn MS09-018 dotyczy problemu w usłudze Active Directory w MS Windows. MS09-022 opisuje problem w Windows Print Spooler. MS09-027 opisuje błąd w aplikacji Office Word. MS09-019 to skumulowana poprawka zabezpieczeń dla przeglądarki Internet Explorer, MS09-021 dotyczy problemu w aplikacji Office Excel. Ostatni z krytycznych biuletynów, MS09-024, dotyczy pakietu Microsoft Works.

Trzy spośród ważnych biuletynów dotyczą ataku typu „podniesienie uprawnień”. MS09-026 w protokole Remote Procedure Call (RPC) i MS09-025 w jądrze Windows. Poświęcony kwestii elewacji uprawnień jest także trzeci biuletyn MS09-020 i dotyczy serwera Internet Information Services (IIS). Ostatni biuletyn dotyczy możliwego ujawnienia informacji w silniku Windows Search. Jego poziom ważności to „umiarkowany”.

Więcej informacji na:

Microsoft TechNet: Microsoft Security Bulletin Summary for June 2009

TechNet Webcast: Information About Microsoft June Security Bulletins (Level 200)

Poniżej znajdują się dokładne informacje na temat poszczególnych biuletynów:

Biuletyny oznaczone „krytycznym” wskaźnikiem ważności:

  • Identyfikator biuletynu: MS09-018
  • Tytuł biuletynu: Vulnerabilities in Active Directory Could Allow Remote Code Execution (971055)
  • Wskaźnik ważności: Krytyczny
  • Rodzaj usterki: Zdalne wykonanie kodu
  • Wymóg restartu: Wymaga restartu
  • Zagrożone oprogramowanie: Microsoft Windows
  • Identyfikator biuletynu: MS09-022
  • Tytuł biuletynu: Vulnerabilities in Windows Print Spooler Could Allow Remote Code Execution (961501)
  • Wskaźnik ważności: Krytyczny
  • Rodzaj usterki: Zdalne wykonanie kodu
  • Wymóg restartu: Wymaga restartu
  • Zagrożone oprogramowanie: Microsoft Windows
  • Identyfikator biuletynu: MS09-019
  • Tytuł biuletynu: Cumulative Security Update for Internet Explorer (969897)
  • Wskaźnik ważności: Krytyczny
  • Rodzaj usterki: Zdalne wykonanie kodu
  • Wymóg restartu: Wymaga restartu
  • Zagrożone oprogramowanie: Microsoft Windows, Internet Explorer
  • Identyfikator biuletynu: MS09-027
  • Tytuł biuletynu: Vulnerabilities in Microsoft Office Word Could Allow Remote Code Execution (969514)
  • Wskaźnik ważności: Krytyczny
  • Rodzaj usterki: Zdalne wykonanie kodu
  • Wymóg restartu: Może wymagać restartu
  • Zagrożone oprogramowanie: Microsoft Office
  • Identyfikator biuletynu: MS09-021
  • Tytuł biuletynu: Vulnerabilities in Microsoft Office Excel Could Allow Remote Code Execution (969462)
  • Wskaźnik ważności: Krytyczny
  • Rodzaj usterki: Zdalne wykonanie kodu
  • Wymóg restartu: Może wymagać restartu
  • Zagrożone oprogramowanie: Microsoft Office
  • Identyfikator biuletynu: MS09-024
  • Tytuł biuletynu: Vulnerability in Microsoft Works Converters Could Allow Remote Code Execution (957632)
  • Wskaźnik ważności: Krytyczny
  • Rodzaj usterki: Zdalne wykonanie kodu
  • Wymóg restartu: Może wymagać restartu
  • Zagrożone oprogramowanie: Microsoft Office

Biuletyny oznaczone „ważnym” wskaźnikiem ważności:

  • Identyfikator biuletynu: MS09-026
  • Tytuł biuletynu: Vulnerability in RPC Could Allow Elevation of Privilege (970238)
  • Wskaźnik ważności: Ważny
  • Rodzaj usterki: Podniesienie uprawnień
  • Wymóg restartu: Wymaga restartu
  • Zagrożone oprogramowanie: Microsoft Windows
  • Identyfikator biuletynu: MS09-025
  • Tytuł biuletynu: Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (968537)
  • Wskaźnik ważności: Ważny
  • Rodzaj usterki: Podniesienie uprawnień
  • Wymóg restartu: Wymaga restartu
  • Zagrożone oprogramowanie: Microsoft Windows
  • Identyfikator biuletynu: MS09-020
  • Tytuł biuletynu: Vulnerabilities in Internet Information Services (IIS) Could Allow Elevation of Privilege (970483)
  • Wskaźnik ważności: Ważny
  • Rodzaj usterki: Podniesienie uprawnień
  • Wymóg restartu: Wymaga restartu
  • Zagrożone oprogramowanie: Microsoft Windows

Biuletyny oznaczone „umiarkowanym” wskaźnikiem ważności:

  • Identyfikator biuletynu: MS09-023
  • Tytuł biuletynu: Vulnerability in Windows Search Could Allow Information Disclosure (963093)
  • Wskaźnik ważności: Umiarkowany
  • Rodzaj usterki: Ujawnienie informacji
  • Wymóg restartu: Wymaga restartu
  • Zagrożone oprogramowanie: Microsoft Windows

Java 6 update 14

Pojawiło się update do kolejnej wersji platformy Java 6.

Do update 14 dodano uprawnienia.

  • Alokacja obiektów na stosie za pomocą EscapeAnalysis (EA) – do niedawna EA pozwalała tylko na usuwanie niepotrzebnych blokad, co przekładało się na większą wydajność aplikacji korzystających intensywnie z synchronizacji wątków. Obecnie dołożono do tego możliwość alokacji na stosie obiektów, do których referencje nie są przekazywane poza lokalny kontekst wywołania metody. Dzięki temu obiekty te mogą być usunięte natychmiast podczas zwijania stosu przy wychodzeniu z metody, co odciąża odśmiecacz, zmniejsza zużycie pamięci i poprawia efektywność wykorzystania cache procesora. Wszystko nie wymaga jakiejkolwiek ingerencji w kod źródłowy – wystarczy dodać przełącznik -XX:+DoEscapeAnalysis do argumentów wywołania JVM.
  • Pakowanie referencji (wskaźników) na maszynach 64-bitowych dla aplikacji, które nie potrzebują większej przestrzeni adresowej niż 64 GB. Wskaźniki są reprezentowane wewnętrznie w postaci 32-bitowej, co może zaoszczędzić znaczne ilości pamięci i poprawić efektywność wykorzystania cache procesora.
  • Nowy, eksperymentalny odśmiecacz G1 przeznaczony do aplikacji interaktywnych, mający na celu zminimalizowanie przestojów spowodowanych odśmiecaniem przy równoczesnym zachowaniu dużej przepustowości i niewielkiego narzutu pamięciowego. Istotą działania jest podział dostępnej pamięci na wiele małych fragmentów, które mogą być “sprzątane” niezależnie, przy czym fragmenty zawierające najwięcej “martwych” obiektów są przetwarzane w pierwszej kolejności.

Szczegółowa lista wprowadzonych zmian znajduje się pod adresem http://java.sun.com/javase/6/webnotes/6u14.html
Java 6 update 14 można pobrać pod adresem http://java.sun.com/javase/downloads/?intcmp=1281

Java 2 Runtime Environment (JRE) 5 Update 19

Sun Microsystems, Inc. wydał Java 2 Runtime Environment (JRE) 5 Update 19. Java jest  środowiskiem-interpreterem nazywany również wirtualną maszyną Java (Java Virtual Machine). Pozwala na uruchamianie na komputerze i przeglądarce internetowej tzw. apletów (programów) napisanych w języku Java. W praktyce jest niezbędnym elementem do uruchamiania programów napisanych w języku Java (np. OpenOffice / StarOffice) oraz np. korzystania z internetowych chatów.

Język polski w Windows 7 RC

Windows 7Udostępniono jako opcjonalną aktualizację polski interfejs użytkownika systemu Windows 7 RC Ultimate. Można go pobrać i zainstalować poprzez witrynę Windows Update, podobnie jak wszystkie inne udostępnione tam nakładki na system.

Instrukcja zmiany języka w Windows 7.

Service Pack 2 dla Microsoft Vista i Microsoft Server 2008

Windows VistaNa stronach Microsoft Downloads udostępniono Service Pack 2 dla Windows Vista i Windows Server 2008. Na razie można go pobrać tylko w 5 podstawowych językach, w wersji dla systemów 32 i 64 bitowych.

Niestety, użytkownicy polskiej wersji systemu nie mogą jeszcze zainstalować SP2.

Windows Server 2008 Service Pack 2 and Windows Vista Service Pack 2 x86

Windows Server 2008 Service Pack 2 and Windows Vista Service Pack 2 x64

Solaris 8 i 9 – brak krytycznych luk

SolarisSun wydał poprawki dla Solarisa 8 i 9, które eliminują wiele krytycznych luk w komponencie sadmind (Solstice AdminSuite Daemon). Jest to demon służący do rozproszonej administracji systemowej w Solarisie. Poprawki dotyczą błędów przepełnienia sterty i przekroczenia zakresu liczb całkowitych, które ujawniają się podczas przetwarzania spreparowanych pakietów RPC. Haker miał możliwość wykorzystać tę okoliczność (przeważnie tylko w sieci LAN) do zdalnego wykonania poleceń z uprawnieniami roota (admina).

Update Rollup 8 – Exchange Server 2007 Service Pack 1

Exchage Server 2007

Microsoft dzisiaj upublicznił Update Rollup 8 dla Exchange Server 2007 SP1.

W tym update poprawiono kilka znalezionych błędów, dodany przez RU7 błąd opisany w biuletynie wiedzy KB969690, zmieniający adres nadawcy w potwierdzeniach dostarczenia wiadomości (DN).

Więcej szczegółów oraz download znajdują się poniżej:

Update Rollup 8 for Exchange Server 2007 Service Pack 1

Update Rollup 8 dla Exchange Server 2007 SP1